AlertaCert
PreciosSeguridadSoporte
Iniciar sesiónEmpezar gratis
Seguridad técnica

Cómo protegemos tus certificados

AlertaCert almacena credenciales fiscales críticas. Estas son las medidas técnicas concretas que aplicamos, sin eufemismos de marketing.

Cifrado AES-256-GCM en reposo

Todos los archivos de certificados (.p12, .cer, .key, .pem) se almacenan cifrados con AES-256-GCM. Las contraseñas de certificados nunca se guardan en texto plano — se cifran antes de escribirse en la base de datos.

Estándar utilizado por instituciones financieras y gobiernos a nivel mundial.

Autenticación con llave de acceso (Passkey / WebAuthn)

AlertaCert soporta llaves de acceso biométricas (Face ID, huella digital, Windows Hello) como segundo factor de autenticación. Las llaves de acceso son resistentes a phishing por diseño — nunca se transmiten al servidor.

Disponible en todos los planes. Los administradores pueden exigirlas a todos los miembros del equipo.

Re-autenticación para acciones sensibles

Las acciones de alto riesgo — revelar contraseña, descargar certificado, eliminar, firmar documentos, gestionar miembros — requieren re-autenticación reciente. Si tu sesión es antigua, se te pedirá confirmar tu identidad antes de proceder.

Mitiga el riesgo de sesiones secuestradas incluso con una sesión activa.

Control de acceso por roles

Cada organización tiene roles de administrador y miembro. Los miembros no pueden invitar usuarios, cambiar roles, eliminar clientes, ni cancelar flujos de firma. Los administradores controlan exactamente qué permisos son sensibles en su organización.

Límite de asientos aplicado en tiempo real — sin acceso fantasma.

Registro de auditoría inmutable

Cada acción sensible — subida, descarga, revelación de contraseña, firma, eliminación, cambio de rol — queda registrada en un log de auditoría. El registro no tiene política de INSERT para usuarios normales: solo el cliente de servicio puede escribir en él.

Los administradores pueden filtrar el historial completo desde Configuración → Auditoría.

Límite de tasa en endpoints sensibles

Los endpoints de carga, descarga, firma y autenticación tienen límites de tasa por usuario. Los intentos excesivos son bloqueados antes de llegar a la base de datos.

El sistema falla de forma abierta en errores de BD — nunca bloquea usuarios legítimos por error de infraestructura.

Row-Level Security en toda la base de datos

Cada tabla de la base de datos tiene RLS (Row-Level Security) habilitado. Los datos de una organización son inaccesibles desde consultas de otra organización, incluso si se usa la misma instancia de base de datos.

Aislamiento de datos garantizado a nivel de motor de base de datos, no solo en código de aplicación.

Validación de archivos en carga

Cada archivo subido es validado por magic bytes antes de almacenarse. Un archivo que no sea DER/PKCS12 o PEM válido es rechazado. Nunca se almacenan archivos arbitrarios disfrazados de certificados.

Las descargas se sirven en proxy server-side con Cache-Control: no-store.

Infraestructura de terceros

AlertaCert no opera sus propios servidores. Confiamos en proveedores de infraestructura con certificaciones propias.

Base de datosSupabase (PostgreSQL) — infraestructura administrada con copias de seguridad automáticas
AlmacenamientoSupabase Storage — buckets privados, acceso firmado, RLS aplicado
AutenticaciónSupabase Auth — tokens JWT de corta duración
PagosStripe — AlertaCert nunca almacena datos de tarjetas
CorreoResend — solo metadatos de notificaciones, sin contenido de certificados
TransporteHTTPS obligatorio en todos los endpoints. Sin excepciones HTTP.

Lo que nunca hacemos

  • Vender o compartir datos de certificados con terceros
  • Almacenar contraseñas de certificados en texto plano
  • Transmitir archivos de certificados a servicios externos (salvo al almacenamiento cifrado)
  • Usar cookies de rastreo publicitario
  • Registrar el contenido de los archivos — solo metadatos (nombre, tipo, vencimiento)

¿Encontraste una vulnerabilidad o tienes preguntas sobre seguridad?

support@alertacert.com